Po segmentaci a kontrole klíčových služeb přichází na řadu další úroveň bezpečnosti. Tentokrát se zaměříme na pravidla, která určují, kdo a jak může síť používat: od konkrétních aplikací a chování uživatelů až po šifrovací standardy. Právě tato vrstva zabezpečení rozhoduje o tom, jestli máte prostředí skutečně pod kontrolou nebo v něm zůstává něco skryto.
GREYCORTEX Mendel nabízí jasný přehled o provozu, včasná upozornění na porušení nastavených pravidel a ověření, že vaše interní politiky nejsou jen na papíře, ale fungují i v reálném provozu.
🔗 Přečtěte si první díl, kde se věnujeme segmentaci sítě a kontrole základních služeb.
Porušení pravidel přístupu a podezřelé chování uživatelů
I důvěryhodnější uživatelé nebo systémy mohou představovat riziko, pokud chybí důsledná kontrola dodržování pravidel. Právě pravidelná kontrola pomáhá včas odhalit i drobné prohřešky, které by jinak snadno unikly pozornosti.
Porušení politiky: Nepovolené protokoly a aplikace (Remote Desktop Protocol, TeamViewer, Dropbox atd.)
Používání nástrojů pro vzdálený přístup nebo sdílení souborů je v mnoha organizacích zakázáno kvůli bezpečnostním rizikům. Pokud se v síti objeví nepovolené protokoly nebo aplikace, může to znamenat novou zranitelnost, možnost zcizení citlivých dat, nebo dokonce otevřenou cestu pro útočníky, jak na dálku ovládnout zařízení.
Ověření v nástroji Mendel
Mendel automaticky detekuje použití všech aplikací – povolených i nepovolených. Analytici si mohou snadno vyfiltrovat konkrétní protokoly, služby nebo aplikace a ověřit, jestli relace skutečně proběhla a byla úspěšně navázaná, jak dlouho trvala, kolik bylo přeneseno dat, případně co bylo obsahem komunikace. Pokud jde o oprávněné použití, stačí přidat konkrétní IP adresy mezi výjimky, aby se detekce zbytečně neopakovaly.
V našem případě Mendel odhalil a označil několik zařízení, která si stáhla a začala používat TeamViewer. Analytici pak mohli snadno ověřit, jestli k tomu měla tato zařízení oprávnění – a pokud ano, rovnou přidali jejich IP adresy mezi výjimky.
V jiném případě Mendel zachytil možnou RDP (Remote Desktop Protocol) relaci. Analytici si mohli rozkliknout detail události, zjistit, který uživatel se připojil, a zkontrolovat délku relace.
Porušení politiky: Komunikace se zakázanými cílovými adresami nebo službami
Přístup k určitým destinacím, například do netypických zemí, na blacklistované IP adresy nebo k určitým službám, bývá z bezpečnostních důvodů omezen. Pokud Mendel takový provoz zachytí, může jít buď o opomenutou výjimku, nebo o pokus obejít nastavená bezpečností pravidla.
Ověření v nástroji Mendel
Mendel dokáže odhalit komunikaci se zakázanými IP adresami. Analytici si navíc mohou v sekci Network Analysis rychle vyfiltrovat podezřelé toky podle zdrojové či cílové IP adresy, objemu přenesených dat nebo počtu paketů. Tato sekce nabízí pokročilé možnosti filtrování a vyhledávání, které umožňují detailně analyzovat provoz napříč celou sítí.
V ukázce níže vidíte, že Mendel zachytil DNS požadavek na TeamViewer ze stanice mx (192.168.2.42). Po rozkliknutí události se potvrdilo, že spojenín bylo úspěšně navázáno – to může naznačovat porušení interní politiky nebo neautorizovaný vzdálený přístup.
Mendel analytikům umožňuje zjistit, který uživatel stojí za podezřelým provozem. Díky tomu lze ověřit, zda šlo o oprávněný přístup k zakázaným destinacím, nebo o porušení bezpečnostních pravidel.
Porušení politiky: Nadměrná komunikace mezi zařízeními
Některá zařízení, například řídicí jednotky ve výrobě nebo interní telefonní ústředny (PBX), by měla komunikovat jen s omezeným počtem komunikačních partnerů. Nová nebo neobvyklá spojení mohou naznačovat chybnou konfiguraci nebo neoprávněnou aktivitu.
Ověření v nástroji Mendel
Mendel umožňuje analytikům nastavit limity na počet komunikačních partnerů pro jednotlivé hosty i pro celé podsítě. Díky tomu snadno odhalí situace, kdy zařízení komunikují mimo povolený rozsah.
Například pokud PBX server naváže spojení s více partnery, než odpovídá jeho známým SIP trunkům a interním telefonům, a zároveň má zakázaný příchozí provoz z internetu, Mendel takovou situaci vyhodnotí jako podezřelou a upozorní na ni.
Porušení politiky: Neautorizovaná komunikace s honeypoty
Honeypoty jsou záměrně vystavené systémy určené k odhalování podezřelé aktivity uvnitř sítě. Za normálních okolností s nimi komunikují jen předem určená zařízení, například administrační nástroje nebo bezpečnostní skenery. Jakýkoli jiný pokus o spojení může naznačovat laterální pohyb nebo interní skenování.
Ověření v nástroji Mendel
Analytici mohou v nástroji Mendel přesně určit, která zařízení mají povolený přístup k honeypotům. Jakmile se s honeypotem pokusí komunikovat jiná IP adresa, Mendel na to okamžitě upozorní.
V následujícím příkladu má k honeypotu na adrese 192.168.2.36 přístup pouze počítač pro správu. Když se o spojení pokusí jiné zařízení (192.168.2.28), Mendel situaci vyhodnotí jako podezřelou a zašle upozornění.
Na grafu je vidět spojení jak z autorizované, tak z neautorizované IP adresy.
Používání TLS a slabé šifrování
Kryptografické standardy jsou základem bezpečné komunikace v každé síti. Pravidelné sledování platnosti digitálních certifikátů a verzí používaných šifrovacích protokolů pomáhá včas odhalit slabá místa v zabezpečení.
Porušení politiky: Používání expirovaných TLS certifikátů
TLS certifikáty hrají zásadní roli v bezpečné a důvěryhodné komunikaci v síti. Pokud certifikát vyprší, může systém spojení automaticky odmítnout, což může způsobit výpadky služeb. Zároveň hrozí, že uživatelé budou přesměrováni na podvržené nebo neautorizované služby, a citlivá data se pak mohou přenášet bez dostatečného šifrování.
Ověření v nástroji Mendel
Mendel automaticky upozorní, pokud detekuje komunikaci se zařízením s expirovaným certifikátem nebo když se blíží konec jeho platnosti.
V příkladu Mendel odhalil interní systém, který stále používá certifikát expirovaný v květnu 2021.
V jiném případě Mendel upozornil na blížící se vypršení certifikátu několik dní předem. Díky tomu měli administrátoři dostatek času na včasné obnovení, a předešli tak možným výpadkům nebo bezpečnostním problémům.
Porušení politiky: Zastaralé verze TLS a šifrovacích sad (cipher suites)
Používání neaktuálních verzí TLS a slabých šifrovacích sad vystavuje šifrovaný provoz známým zranitelnostem. Zároveň se zpřísňují legislativní požadavky, které po organizacích vyžadují ukončení používání starších verzí TLS a přechod na silnější šifrování.
Ověření v nástroji Mendel
Mendel umožňuje nastavit upozornění na použití zastaralých verzí TLS. Pro zajištění bezpečné komunikace se doporučuje používat TLS 1.2 nebo 1.3. V praxi to obvykle znamená aktualizaci operačního systému, prohlížeče nebo jiného klientského softwaru.
V příkladu níže Mendel detekoval zařízení, které stále komunikovalo pomocí verze TLSv1.0.
Bez kontroly jsou pravidla jen iluze bezpečnosti
Bezpečnostní pravidla nejsou jen technická opatření. Jsou výrazem odpovědného přístupu k ochraně dat a provozu celé organizace. V souladu s požadavky nového zákona o kybernetické bezpečnosti už nestačí mít pravidla sepsaná na papíře. Dnes je klíčové mít jistotu, že opravdu fungují a že je možné jejich dodržování kdykoliv prokázat.
Mendel poskytuje vašemu týmu přesně tento přehled. Průběžně ověřuje uplatňování bezpečnostních politik v praxi – od šifrování a přístupových práv až po komunikaci v síti. Díky tomu má bezpečnostní tým k dispozici jasná data a může jednat rychle, efektivně a s jistotou.
Fungují vaše pravidla i v praxi? Audit s nástrojem Mendel vám ukáže realitu.
Kategorie
- Novinky (17)
- IT/OT bezpečnost (24)
- Webináře (6)